5 beste verktøy for dyp pakkeinspeksjon i 2020

Nettverk er en tøff ting å administrere og overvåke. Det er forståelig, nettverkstrafikk skjer inne i kobberkabling eller optiske fibre, og den kan ikke sees. Dette gjør det litt komplisert for enhver administrator å ha et klart og klart bilde av hva som skjer med nettverkene de administrerer. Det er her nettverksovervåking kommer inn. Og når det gjelder nettverksovervåking, er flere nivåer av den tilgjengelig, som hver gir mer informasjon om trafikken. Dyp pakkeinspeksjon er det øverste overvåkningsnivået som gir mest informasjon om nettverkstrafikk. For å utføre dyp pakkeinspeksjon, trenger du riktige verktøy - og i dag vurderer vi noen av de beste verktøyene for dyp pakkeinspeksjon.

Før vi begynner, vil vi prøve å forklare dyp pakkeinspeksjon. Det virker som alle har en motstridende ide om hva det er og hva det skal være. Den dype pakkeinspeksjonen av interesse for oss i dag har å gjøre med nettverksovervåking, et annet vagt begrep. For å prøve å belyse temaet, vil vi diskutere overvåkning generelt og strømningsanalyse spesielt ettersom det utgjør en form for dyp pakkeinspeksjon. Og siden

Ciscos NetFlow-teknologi ser ut til å være den mest utbredte, vi får se det dypere. Først da vil vi være klar til å avsløre hva de beste verktøyene for dyp pakkeinspeksjon er, og tilby deg en kort gjennomgang av hver.

Deep Packet Inspection Explained

Dyp pakkeinspeksjon er definert som handlingen for en nettverksinfrastrukturkomponent å analysere innholdet i data pakker utover bare å se på pakkeoverskriften for å samle statistikk om nettverkstrafikk eller for filtrering, prioritering eller formål med påvisning av inntrenging. Selv om denne definisjonen er relativt nøyaktig, er den litt generisk. Videre, hva dyp pakkeinspeksjon er, kan variere basert på hva du prøver å oppnå. Den dype pakkeinspeksjonen som er gjort for statistikkinnsamlingsformål, for eksempel, er forskjellig fra dyp pakkeinspeksjon for å filtrere ut litt trafikk. I forbindelse med denne artikkelen er det vi interessert i mest statistikkinnsamling. Verktøyene vi skal gjennomgå øyeblikkelig er i hovedsak avanserte overvåkningsverktøy.

Om overvåkningsverktøy

Nettverksovervåking, akkurat som dyp pakkeinspeksjon, er ikke et klart definert begrep. Den mest grunnleggende formen for nettverksovervåking er overvåking av båndbredde. Det gjøres vanligvis ved å bruke Simple Network Management Protocol. Denne typen overvåking er veldig nyttig for å få et klart bilde av nettverkets bruk, men det har begrensninger. Selv om det gir deg den gjennomsnittlige bruken av båndbredde på et spesifikt punkt i nettverket, gir den ikke detaljer om hva som bruker opp båndbredden.

For å få et tydeligere bilde av hvilken trafikk som transporteres i et nettverk, må du bruke flytanalyse. Strømningsanalyse går langt dypere enn båndbreddeovervåkning og kan gi detaljert informasjon. Den er avhengig av nettverksenhetene selv for å sende trafikkinformasjon til overvåkningssystemer kalt samlere og / eller analysatorer som kan tolke flytdata og presentere den på meningsfylte måter. Flow-analyse vil for eksempel gi deg muligheten til å se hvordan nettverkstrafikken er fordelt mellom alle kilder og destinasjoner. Den vil fortelle deg om hvilke protokoller og hvilke typer trafikk som brukes.

Flyteanalyse kan betraktes som dyp pakkeinspeksjon ved at den går utover bare å se på overskriften for å finne kvalitativ informasjon om de faktiske dataene som blir transportert på en Nettverk. Den vanligste av alle flytanalyseteknologier er absolutt Ciscos NetFlow. La oss se det dypere.

Mer om NetFlow

NetFlow ble opprinnelig utviklet av Cisco Systems og introdusert på deres rutere med mål om å gi muligheten til å samle informasjon om IP-nettverkstrafikk når den kommer inn eller går ut fra et grensesnitt. Den opprinnelige hensikten var å bli brukt til å lage bedre tilgangskontrollister (ACL). Siden har den utvidet til et ekte overvåkningsskjema, og strømningsdataene som er samlet inn av enheter, blir nå eksportert dia.

NetFlow-teknologien består av hovedsakelig tre komponenter. Den første er flyteeksportøren som aggregerer pakker i strømmer og eksporterer strømningsregistreringer mot en eller flere strømningsfangere. Den neste komponenten, strømningsoppsamleren, er ansvarlig for mottak, lagring og forbehandling av strømningsdata mottatt fra den forrige komponenten. Til slutt blir strømningsanalysatoren brukt til å analysere de mottatte strømningsdataene. Denne analysen kan blant annet brukes til trafikkprofilering eller nettverksfeilsøking. Mange moderne oppsett kombinerer flytkollektoren og analysatoren i en enkelt, integrert komponent.

Slik fungerer NetFlow

Alle andre enheter som støtter NetFlow, kan konfigureres til å sende ut strømningsdata i form av strømposter og sende dem til en NetFlow-samler. En flyt er en fullstendig samtale i IP-forstand. Og det kan være mange strømmer som går gjennom ett grensesnitt til enhver tid. Nettverksenheten som forbereder strømposter sender dem til samleren når den bestemmer, enten gjennom aldring eller se en TCP-sesjonsavslutning, at flyten er ferdig.

En typisk flytrekord pakker ganske mye informasjon. Dette inkluderer inngangs- og utgangsgrensesnitt, start- og sluttidstemplene til strømmen, antall byte og pakker inneholder toppdelene på lag 3, kilden og destinasjonen IP-adresse og portnummer, IP-protokollen og TOS (Type of Service) verdi. Flytoppføringer inneholder ikke de faktiske dataene som utgjorde strømmen. De inneholder bare informasjon om flyten. Dette er viktig fra et sikkerhetsmessig synspunkt.

I de fleste miljøer er flytsamlerne der postene sendes ofte også strømningsanalysatorene. Bare veldig store nettsteder med flere nettsteder vil ha fordel av å ha separate samlere fordelt på de forskjellige nettstedene. Samlerne og analysatorene bruker informasjonen i strømposter for å presentere data om nettverkstrafikk på en måte som er nyttig for nettverksadministratorer. Faktisk er de viktigste skillende faktorene mellom de forskjellige verktøyene måten de kan forstå og presentere data på en meningsfull måte.

De beste verktøyene for dyp pakkeinspeksjon

Fra et overvåkingssynspunkt er strømningsanalyse en dyp pakkeinspeksjon, så verktøyene vi vurderer i dag er faktisk NetFlow-analysatorer. Mange av dem vil gjøre mer enn det, og noen er del av en komplett overvåkningsløsning.

SolarWinds, i det usannsynlige tilfellet du aldri har hørt om selskapet, lager noe av den beste programvaren for nettverks- og systemadministrasjon. Et av flaggskipets produkter, SolarWinds Network Performance Monitor, anses av mange for å være et av de beste nettverksbåndbreddeovervåkningsverktøy. Og SolarWinds lager også noen utmerkede gratis verktøy, som hver for seg adresserer en bestemt oppgave som nettverksadministratorer. To eksempler på disse gratis verktøyene er en gratis avansert subnettkalkulator og en gratis syslog server. Og når det gjelder NetFlow-trafikkanalyse, er SolarWinds NetFlow Traffic Analyzer (NTA) definitivt en av de beste NetFlow-samlerne og analysatorene du kan finne.

Blant produktets beste funksjoner, er SolarWinds NetFlow Traffic Analyzer kan overvåke bruken av båndbredde etter applikasjon, protokoll og IP-adressegruppe. Den kan ikke bare overvåke Cisco NetFlow, men også Juniper J-Flow, sFlow, Huawei NetStream og IPFIX - noen få andre flyt analyseteknologier basert på NetFlow - for å identifisere hvilke applikasjoner og protokoller som er den største båndbredden forbrukere. Verktøyet samler inn trafikkdata, korrelerer det til et brukbart format og presenterer det for brukeren på et nettbasert dashbord. Produktet støtter Cisco NBAR2 for å identifisere hvilke applikasjoner og kategorier som bruker mest båndbredde, noe som gir deg en enda bedre synlighet for nettverkstrafikken.

De SolarWinds NetFlow Traffic Analyzer er et tillegg til Network Performance Monitor (NPM). Hvis du ikke allerede eier en NPM-lisens, må du faktorere den som koster. De starter på $ 2 955 for opptil 100 elementer. Når det gjelder NTA-tillegget, må lisensen samsvare med antall noder i NPN-lisensen din, og prisene starter på $ 1 915. Hvis du heller vil prøve produktet før du går inn på et kjøp, er en gratis prøveversjon tilgjengelig fra SolarWinds.

• GRATIS PRØVEPERIODE: SolarWinds NetFlow Traffic Analyzer
• Offisiell nedlastingslenke: https://www.solarwinds.com/netflow-traffic-analyzer

Hvis du trenger en mindre skala løsning SolarWinds NetFlow Analyzer i sanntid kan være akkurat det du trenger. Dette er et av SolarWinds berømte gratis verktøy, og selv om den ikke er så komplett som NetFlow Traffic Analyzer, gir den deg noe av den samme grunnleggende funksjonaliteten.

Den kan fange og analysere flytdata i sanntid. Og det vil vise deg hvilken type trafikk som transporteres i nettverket ditt, hvor den kommer fra, og hvor den skal til. Du kan også bruke den - til en viss grad - til å diagnostisere trafikkstopp og feilsøke båndbreddeproblemer.

Produktet lar deg identifisere hvilke brukere, enheter og applikasjoner som bruker mest båndbredde; isolere nettverkstrafikk etter samtale, app, domene, sluttpunkt og protokoll; og se nettverkstrafikk etter type og spesifiserte tidsperioder

Selvfølgelig kan du ikke forvente at denne gratis programvaren skal gjøre alt storebroren gjør. Det har noen alvorlige begrensninger, og det primære fokuset er den nåværende og nyeste tilstanden til nettverket ditt. Den vil bare samle inn data fra ett NetFlow-grensesnitt og bare beholde og analysere de siste 60 minuttene med data.

Hvis du trenger et raskt og skittent syn på bruken av båndbredde, vil SolarWinds gratis sanntids NetFlow Analyzer gi det, men ikke mye mer.

• Gratis nedlasting: SolarWinds NetFlow Analyzer i sanntid
• Offisiell nedlastingslenke: https://www.solarwinds.com/free-tools/real-time-netflow-analyzer

3. ManageEngine NetFlow Analyzer

ManageEngine er et annet kjent navn innen nettverksadministrasjonsverktøy. Det er ManageEngine NetFlow Analyzer gir nettverksadministratorer en detaljert oversikt over bruken av nettverksbåndbredde og trafikkmønstre. Produktet styres av et nettbasert grensesnitt og tilbyr et imponerende antall forskjellige synspunkter på nettverket ditt.

Produktet lar deg for eksempel se trafikk etter applikasjon, samtale, protokoll og flere alternativer. Du har også muligheten til å stille varsler for å advare deg om potensielle problemer. Du kan for eksempel sette en trafikkgrense for et spesifikt grensesnitt og bli varslet når den overskrides.

Men den største styrken til dette verktøyet er rapporter og dashbord. Det kommer med flere veldig nyttige forhåndsbygde rapporter som er skreddersydd for spesifikke formål som feilsøking, kapasitetsplanlegging eller fakturering. Og så bra som det innebygde rapporter er, lar verktøyet også administratorer lage egendefinerte rapporter etter deres smak.

Produktets instrumentbord er like imponerende som rapportene. Det inkluderer flere kakediagrammer med ting som toppprogrammer, toppprotokoller eller toppsamtaler. Den kan også vise et slags varmekart med status for de overvåkede grensesnittene. Og akkurat som rapportene, kan dashbordet også tilpasses slik at det bare inkluderer informasjonen du finner nyttig. Dashbordet er også der varsler vises i form av popup-vinduer. On-the-go nettverksadministrator vil ikke føle seg utelatt ettersom en smarttelefonapp er tilgjengelig, og den vil gi deg tilgang til både dashbordet og rapportene.

De ManageEngine NetFlow Analyzer støtter de fleste flyteknologier inkludert NetFlow, IPFIX, J-flow, NetStream og noen få andre. Dette verktøyet kan også skryte av en utmerket integrasjon med Cisco-enheter, med muligheten for å justere trafikkforming og / eller QoS-retningslinjer rett fra verktøyet.

De ManageEngine NetFlow Analyzer kommer i to versjoner. Det er en gratis versjon som er begrenset til kun å overvåke to strømningsgrensesnitt. Selv om dette ikke er mye, kan det være alt du trenger. Og den gratis versjonen vil tillate ubegrensede enheter de første 30 dagene, noe som gir deg en sjanse til å gi en grundig testkjøring. Når prøveperioden er over, er lisenser tilgjengelige i flere størrelser fra 100 til 2500 grensesnitt eller flyter med priser som starter på rundt $ 600 pluss årlige vedlikeholdsavgifter.

4. Paessler Router Traffic Grapher (PRTG)

PRTG fra Paessler er en annen kjent, alt-i-ett-løsning der det primære formålet er å overvåke bruken av båndbredde. Den brukes også til å overvåke tilgjengeligheten og helsen til forskjellige nettverksressurser. Som sådan er det et annet veldig nyttig verktøy for nettverksadministratorer. Men takket være en NetFlow-sensor som er tilgjengelig for produktet, PRTG kan også fungere som en NetFlow-samler og analysator.

Faktisk, PRTG er ikke bare et overvåkningsverktøy for båndbredde eller en NetFlow-samler og analysator. Den bruker flere teknologier for å overvåke systemer, enheter, trafikk og applikasjoner. Blant dem produktet vil bruke SNMP med klar til bruk og tilpassede alternativer, WMI og Windows ytelses tellere, SSH for Linux / Unix og MacOS systemer, strømmer - for eksempel NetFlow eller sFlow - og pakkesniffing, HTTP-forespørsler, REST APIer som returnerer XML eller JSON, Ping, SQL og mange mer.

installere PRTG det er lett. Du kjører ganske enkelt installasjonsprogrammet, så vil auto-discovery prosessen oppdage enheter og sette opp sensorer. Du kan da legge til ekstra sensorer - for eksempel NetFlow-samlere - manuelt. Det er til og med en detaljert video på Paesslers nettsted som viser deg hvordan det gjøres.

Serveren kjører bare på Windows, men brukergrensesnittet er nettbasert og kan nås fra hvilken som helst nettleser. Det er også en mobilklient-app som du kan installere på smarttelefonen din. Den mobile klientappen har en unik funksjon i form av QR-etiketter som du kan skrive ut og feste på enhetene dine. Deretter vil en skanning av koden fra mobilappen raskt åpne enhetens sensordata.

To versjoner av PRTG er tilgjengelig. Det er en gratis versjon som er begrenset til 100 sensorer. Vær oppmerksom på at en sensor i PRTG parlance er ikke en enhet. Det er i stedet det mest grunnleggende elementet som kan overvåkes. For eksempel krever overvåking av hver port på en 48-port bryter 48 sensorer og NetFlow innsamling og analyse krever en sensor per flyteksportør. I det tempoet er det åpenbart at 100 sensorer kanskje ikke er så mye som de først dukket opp. Hvis du trenger mer enn 100 sensorer, må du kjøpe en lisens. De er tilgjengelige i 500, 1000, 2500 eller 5000 sensorer, og det er også en ubegrenset lisens. Prisene varierer fra rundt 1 600 dollar til snaut 15 000 dollar. Den gratis versjonen vil tillate ubegrensede sensorer de første 30 dagene, slik at du kan dra nytte av en grundig testkjøring av produktet.

5. Scrutinizer

Sist på listen vår er Scrutinizer fra Plixer, en annen utmerket NetFlow Analyzer. Det er faktisk mye mer enn det, og noen ser på det som et fullstendig responssystem for hendelser. Produktet har muligheten til å overvåke forskjellige flytetyper som NetFlow, J-flow, NetStream og IPFIX, så du er ikke begrenset til kun å overvåke Cisco-enheter.

Scrutinizer har en hierarkisk design som tilbyr strømlinjeformet og effektiv datainnsamling og lar deg starte små og deretter skalere opp til mange millioner strømmer per sekund. Nettverket får ofte først skylden når noe går galt. Med dette verktøyet kan du raskt finne den virkelige årsaken til nesten alle nettverksproblemer. Produktet fungerer i både fysiske og virtuelle miljøer og har avanserte rapporteringsfunksjoner.

Scrutinizer er tilgjengelig i fire lisensnivåer. De spenner fra den grunnleggende gratisversjonen til det fullverdige SCR-nivået som kan skalere opp til over 10 millioner strømmer per sekund. Gratisversjonen er begrenset til 10 tusen strømmer i sekundet, og den vil bare beholde råstrømsdata i 5 timer, men den skal være mer enn nok for å feilsøke nettverksproblemer. Du kan også prøve hvilken som helst lisensnivå i 30 dager, hvoretter den vil gå tilbake til gratisversjonen.